Nuestra organización cuenta con empleados que trabajan principalmente en el campo. Anteriormente, tenían se les había provisto computadoras portátiles y teléfonos móviles de la organización. Ahora, la organización ha adoptado una política de traer su propio dispositivo (BYOD). El equipo de seguridad ha implementado políticas para asegurar estos dispositivos. ¿La pregunta que tengo es cuáles son las cuestiones de privacidad asociadas con estos equipos móviles que utilizan sus propios dispositivos para el trabajo de la organización?
Hay múltiples aspectos en esta pregunta Vamos a dividir la pregunta en pequeñas preguntas:
- Si bien permite a los usuarios utilizar sus dispositivos móviles para los fines de la organización, ¿qué configuración de seguridad es probable que afecten a su privacidad?
- ¿Qué garantía tiene el propietario del dispositivo de que la organización no supervisa la información relacionada con la privacidad mientras supervisa el dispositivo en busca de seguridad?
- ¿Qué garantías tiene la organización de que los empleados cumplen con las políticas relacionadas con el cumplimiento y la privacidad al acceder y utilizar los datos de la organización?
- ¿Qué garantía tiene la organización de que los empleados respalden los datos relacionados con la organización desde los dispositivos personales?
- ¿Qué garantía tiene la organización de que los empleados no instalarán ningún software no autorizado que comprometa los datos de propiedad de la organización?
- ¿Qué garantías tiene la organización de que los empleados entreguen sus dispositivos para la investigación en caso de sospecha/violación real de privacidad?
Muchas organizaciones hoy en día han implementado la tecnología para supervisar las comunicaciones de los empleados para garantizar que el comportamiento de los empleados es compatible con las leyes, reglamentos y políticas de privacidad. Estas medidas pueden ser particularmente necesarias para organizaciones como bancos, proveedores de servicios públicos, compañías financieras y compañías cotizadas que están altamente reguladas, especialmente para asegurar la seguridad de la información, rastrear infracciones de información privilegiada y prevenir delitos como la colusión y el abuso de información privilegiada. El reto principal es trazar una línea entre la privacidad de la organización, el cumplimiento y la privacidad personal de los empleados.
Esta cuestión debe ser abordada por las políticas de la organización a fin de encontrar un equilibrio entre el cumplimiento y la privacidad del empleado.
Muchas organizaciones implementan procesos de monitoreo de seguridad usando tecnología como administración de dispositivos móviles (MDM) e información de seguridad y administración de eventos (SIEM). Las características de MDM permiten a las organizaciones:
- Proteja los dispositivos del acceso no autorizado
- Restringir la instalación de aplicaciones (aplicaciones) para proteger dispositivos contra malware
- Seguimiento de la ubicación física de un dispositivo
- Limpiar los datos de un dispositivo si se pierde o es robado o si el empleado sale de la empresa
En otras palabras, las organizaciones pueden acceder remotamente a los dispositivos de un empleado y realizar un seguimiento de las actividades del empleado. Por lo tanto, la respuesta a la primera pregunta es: “Sí, las organizaciones pueden acceder de forma remota a los dispositivos y a la información relacionada con la privacidad”.
El seguimiento de los dispositivos también responde a las preguntas tercera, cuarta y quinta. La organización puede monitorear las actividades del personal móvil para asegurar cumplimiento. Ahora bien, en lo que respecta a la segunda cuestión, la prima facie es “ninguna”. Cuando la organización supervisa los dispositivos, la organización puede acceder a la información relacionada con la privacidad del propietario del dispositivo/empleado. En cuanto a la sexta pregunta, la respuesta es ninguna.
Para superar esta situación, la BYOD de una organización y las políticas de privacidad deben abordarla. El cumplimiento relacionado con la privacidad se puede abordar adoptando los principios de la Organización de Cooperación y Desarrollo Económicos (OCDE) para proteger los datos relacionados con la privacidad:
- Aviso—La organización debe notificar al personal móvil que sus dispositivos son supervisados por seguridad y existe la posibilidad de que la información relacionada con la privacidad pueda ser recopilada por la organización. Este aviso también debe incluir el acceso remoto al dispositivo y la copia de seguridad de los datos del dispositivo que pueden incluir información relacionada con la privacidad.
- Propósito—La organización también debe informar a los empleados sobre los objetivos de acceso remoto y monitoreo, que se enfocan principalmente en asegurar la seguridad sobre la información organizacional contenida en el dispositivo.
- Consentimiento—Los empleados deben consentir a dicho monitoreo. Algunos empleados pueden negarse a cumplir, en cuyo caso la organización no puede monitorizar sus dispositivos. Por supuesto, la organización tiene todo el derecho entonces a no permitir BYOD para aquellos empleados. El consentimiento del empleado debe incluir también la entrega de sus dispositivos para investigación en caso de un incidente.
- Seguridad—La organización es responsable de asegurar la información relacionada con la privacidad, incluida la información de copia de seguridad.
- Divulgación—Los procesos de recolección, almacenamiento y disposición de datos pueden ser explicados a los empleados dentro de los límites de la política de seguridad.
- Acceso—Los empleados deben mantenerse informados sobre el estado de los datos relacionados con la privacidad.
- Rendición de cuentas—La organización es responsable por el incumplimiento de los datos relacionados con la privacidad recopilados de cualquier manera, incluida la supervisión de dispositivos móviles. Esto puede considerarse una extensión del principio de seguridad. Las organizaciones deben implementar una seguridad razonable para proteger los Información recogida. En los casos en que se produzca un incumplimiento de la seguridad que provoque fugas de Información, la organización es responsable.
- Aceptación—El personal móvil debe ser informado de la política y el consentimiento debe obtenerse antes de configurar el dispositivo y permitir que sea utilizado por el empleado para los negocios oficiales.
La supervisión de dispositivos puede estar activa (cuando un dispositivo como un teléfono inteligente está en uso) o pasiva (cuando un dispositivo está conectado a la red). En cualquier caso, los siguientes principios relacionados con la privacidad ayudan a las organizaciones a controlar el uso de datos por parte del personal móvil.
Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999 LI, CEH, CISSP, ISO 27001 LA, MCA, PMP
Ha trabajado en TI, gobierno de TI, auditoría de SI, seguridad de la información y gestión de riesgos de TI. Tiene 40 años de experiencia en diversos cargos en Diferentes industrias. Actualmente, es consultor independiente y Miembro de la facultad del Instituto Nacional de Gestión de Bancos, India.